Ein neues Modell für die Berechnung von DSGVO-Bußgeldern erhöht mögliche Strafzahlungen

Denn die deutschen Datenschutzbehörden haben sich auf ein neues Modell zur Berechnung von DSGVO-Geldbußen am oberen Ende der in Artikel 83 genannten Grenzwerte geeinigt. Wenn Deutschland den Weg ebnet, ist es sehr wahrscheinlich, dass andere europäische Länder folgen werden. Wir glauben daher, dass es nur eine Frage der Zeit ist, bis ein harmonisiertes Strafverfahren auf der Grundlage des deutschen Modells entwickelt wird.

 

Wie funktioniert das Bußgeldmodell?

Das von den deutschen Datenschutzbehörden entwickelte Modell ist recht kompliziert und berücksichtigt eine Reihe von Parametern:

Unternehmensgröße

Zunächst werden Unternehmen anhand ihrer Größe in Kategorien eingeteilt. Die Größe eines Unternehmens wird durch seinen weltweiten Umsatz im Vorjahr bestimmt. Nach diesem Parameter fällt ein Unternehmen in eine der folgenden Kategorien, die dann weiter in Untergruppen unterteilt werden:

 

• sehr klein (bis zu 2 Mio. Euro),
• klein (von 2 bis 10 Mio. Euro),
• mittelgroß (10 bis 50 Mio. Euro),
• groß (über 50 Mio. Euro).

Jahresumsatz

Danach wird der durchschnittliche Jahresumsatz des Unternehmens berechnet. Beträgt der durchschnittliche Jahresumsatz weniger als 500 Millionen Euro, wird dem Unternehmen aufgrund seiner zuvor festgelegten Größe und Untergruppe eine „feste durchschnittliche Umsatzgebühr“ zugewiesen. Wenn der durchschnittliche Jahresumsatz mehr als 500 Mio. Euro beträgt, wenden die Datenschutzbehörden den Höchstsatz gemäß Artikel 83 an, das heißt 2 % oder 4 %, je nach Verstoß.

Schwere des Verstoßes

Der nächste Schritt ist die Berechnung des Tagessatzes durch Division. Hier wird der durchschnittlichen Jahresumsatzes der betreffenden Untergruppe durch 360 Tage geteilt. Anhand des Tagessatzes werden dann die regulären Bußgeldkorridore in Abhängigkeit von der Schwere der Zuwiderhandlung ermittelt. Alle Verstöße werden nach dem wahrgenommenen Schweregrad in vier Gruppen eingeteilt und jeder Gruppe wird ein bestimmter Bereich von Multiplikatoren zugewiesen:

 

• Geringfügiger Verstoß: Multiplikatorbereich von 1 bis 4
• Durchschnittlicher Verstoß: Multiplikatorbereich von 4 bis 8
• Schwerer Verstoß: Multiplikatorbereich von 8 bis 12
• Sehr schwerer Verstoß: Multiplikatorbereich von 12 bis 14,4.

Die Bewertung des Schweregrads führt zur Bestimmung des regulären Bußgeldkorridors, der sich aus der Multiplikation des Tagessatzes mit dem Multiplikatorbereich für den entsprechenden Schweregrad ergibt. Die Datenschutzbehörden bestimmen dann den Medianwert, der die Grundlage für die Feinberechnung bildet.

Weitere Kriterien

Schließlich wird die Zuwiderhandlung von Fall zu Fall weiter eingestuft, und die Geldbuße wird geändert, um die folgenden Kriterien bei der Bemessung des Bußgeldes zu berücksichtigen:

 

• Dauer der Zuwiderhandlung
• Art, Zweck und Umfang der rechtswidrigen Datenverarbeitung
• die Anzahl der betroffenen Personen
• Schaden für betroffene Personen

Jeder dieser Kriterien erhält eine Bewertung von 0 bis 4 (maximal 16), die bestimmt, ob ein zusätzlicher Multiplikator angewendet werden soll. Die Datenschutzbehörden berücksichtigen auch andere mildernde oder erschwerende Faktoren. Beispielsweise kann die Zusammenarbeit mit den Behörden und das Ergreifen von Maßnahmen zur Schadensminderung von Vorteil sein, während die Vorgeschichte früherer Verstöße zu einer erheblichen Erhöhung der Geldbuße führen kann. Erst nach Abschluss aller Schritte können die Datenschutzbeauftragten den endgültigen Bußgeldbetrag ermitteln.

 

Ein Beispiel

Unternehmen A erzielte 2019 einen weltweiten Umsatz von 40 Millionen Euro. Daher wird es als mittelständisches Unternehmen, Teilkonzern CVI, mit einer festen jährlichen Umsatzgebühr von 35 Millionen Euro eingestuft. Um den Tagessatz zu berechnen, teilen wir 35 Millionen durch 360 und erhalten 97.222 EUR. Der Verstoß von Unternehmen A wurde als schwerwiegend eingestuft, sodass der reguläre Bußgeldkorridor zwischen 777.776 EUR und 1.166.664 EUR liegen wird. Der Mittelwert beträgt 972.220 EUR. Das ist die Basis für die Berechnung der Strafe. Der Gesamtbetrag der Geldbuße hängt jedoch vom Ausmaß des Schadens, den Folgen für die betroffenen Personen und anderen Faktoren ab und wird von den Datenschutzbehörden weiter festgelegt.

 

Sind Sie DSGVO konform?

Wie Sie sehen, ist das neue Modell sehr komplex. Es wurde bereits kritisiert und wir müssen erst noch abwarten, wie es umgesetzt wird. Eines ist jedoch sicher: Dieses Modell wird zu viel höheren Bußgeldern führen, als die deutschen Behörden bisher verhängt haben. Wenn Sie noch keine vollständige Anpassung sichergestellt haben, ist dies Ihr Weckruf.

Wenn Sie sensible Daten verarbeiten, empfehlen wir Ihnen, Ihre Datenschutzprozesse zu untersuchen, um potenzielle Datenschutzverletzungen oder andere Verstöße im Rahmen der DSGVO zu verhindern. Eine der einfachsten Möglichkeiten, die DSGVO-Anforderungen in Jira und Confluence zu erfüllen, besteht darin, die Add-ons  Data Protection and Security Toolkit for Jira und Data Protection and Security Toolkit for Confluence  zu verwenden, die den Datenschutz in Jira und Confluence von Grund auf gewährleisten. Diese Add-ons verfügen über integrierte Funktionen für die Überwachung persönlicher Daten, die Überwachung von Berechtigungen, das Einholen von Einwilligungen, die permanente Anonymisierung sowie das Erstellen von Datenregeln für die Prozessautomatisierung usw.

Die Einhaltung der DSGVO in Jira und Confluence kann einfach und bequem sein. Starten Sie gleich unsere kostenlose Testversion, um zu sehen, wie es funktioniert.

 

 

 

 

 

Lassen Sie uns in Kontakt bleiben!

Folgen Sie uns auf LinkedIn, Facebook, XING und Twitter und abonnieren Sie unseren Newsletter, um regelmäßig Updates, Tipps und Angebote direkt in Ihr Postfach zu erhalten.